Med så mange store datainnbrudd i nyhetene i det siste, lurer du kanskje på hvordan dataene dine er beskyttet når du er online. Når du går til et nettsted for å handle og taster inn kredittkortnummeret ditt, kommer forhåpentligvis en pakke på døren om noen dager. Men i det øyeblikket før du trykker på Bestill, lurer du på hvordan nettsikkerhet fungerer?
Det grunnleggende om nettsikkerhet
I sin grunnleggende form utføres nettsikkerhet - sikkerheten som finner sted mellom en datamaskin og et nettsted - gjennom en rekke spørsmål og svar. Du skriver inn en nettadresse i en nettleser, og deretter ber nettleseren det nettstedet om å bekrefte ektheten. Nettstedet svarer med riktig informasjon, og etter at begge er enige, åpnes siden i nettleseren.
Blant spørsmålene som stilles og informasjonen som utveksles er data om hvilken type kryptering som overfører nettleserinformasjon, datainformasjon og personlig informasjon mellom nettleseren og nettstedet. Disse spørsmålene og svarene kalles et håndtrykk. Hvis det håndtrykket ikke finner sted, anses nettstedet du prøver å besøke som utrygt.
HTTP vs
- Åpent for alle å se underveis.
- Enklere å sette opp og kjøre.
- Ingen sikkerhet for passord og innsendte data.
-
Fullt kryptert for å skjule informasjon.
- Krever ytterligere serverkonfigurasjon.
- Beskytter overført informasjon, inkludert passord.
En ting du kanskje legger merke til når du besøker nettsteder på nettet, er at noen har en adresse som begynner med http, og noen starter med https. HTTP betyr Hypertext Transfer Protocol; det er en protokoll eller et sett med retningslinjer som angir sikker kommunikasjon over internett.
Noen nettsteder, spesielt nettsteder der du blir bedt om å oppgi sensitiv eller personlig identifiserende informasjon, kan vise https enten i grønt eller rødt med en strek gjennom. HTTPS betyr Hypertext Transfer Protocol Secure, og grønt betyr at nettstedet har et verifiserbart sikkerhetssertifikat. Rød med en strek gjennom betyr at nettstedet ikke har et sikkerhetssertifikat, eller at sertifikatet er unøyaktig eller utløpt.
Her blir ting litt forvirrende. HTTP betyr ikke at data som overføres mellom en datamaskin og et nettsted er kryptert. Det betyr bare at nettstedet som kommuniserer med nettleseren har et aktivt sikkerhetssertifikat. Bare når en S (som i S) er inkludert, er dataene som overføres sikre, og det er en annen teknologi i bruk som gjør den sikre betegnelsen mulig.
SSL vs. TLS
- Opprinnelig utviklet i 1995.
- Tidligere nivå av nettkryptering.
- Laget etter det raskt voksende internett.
- Startet som den tredje versjonen av SSL.
- Transport Layer Security.
- Fortsatte å forbedre krypteringen som brukes i SSL.
- Lagt til sikkerhetsreparasjoner for nye typer angrep og sikkerhetshull.
SSL var den originale sikkerhetsprotokollen for å sikre at nettsteder og data som sendes mellom nettstedene var sikre. I følge GlobalSign ble SSL introdusert i 1995 som versjon 2.0. Den første versjonen (1.0) ble aldri offentlig tilgjengelig. Versjon 2.0 ble erstattet av versjon 3.0 innen et år for å løse sårbarheter i protokollen.
I 1999 ble en annen versjon av SSL, k alt Transport Layer Security (TLS), introdusert for å forbedre hastigheten på samtalen og sikkerheten til håndtrykket. TLS er versjonen som for øyeblikket er i bruk, selv om den ofte refereres til som SSL for enkelhets skyld.
Forstå SSL-protokollen
- Skjuler informasjon satt mellom en datamaskin og et nettsted.
- Beskytter påloggingsinformasjon.
- Sikker kjøp på nettet.
- Beskytter ikke mot alle trusler.
- Kan ikke sikre deg på nettsteder som ikke bruker SSL.
- Kan ikke skjule hvilke nettsteder du besøker.
Når du vurderer å dele et håndtrykk med noen, betyr det at det er en annen part involvert. Online sikkerhet er omtrent på samme måte. For at håndtrykket som sikrer sikkerhet på nett skal finne sted, må det være en annen part involvert. Hvis HTTPS er protokollen som nettleseren bruker for å sikre at det er sikkerhet, er den andre halvdelen av det håndtrykket protokollen som sikrer kryptering.
Kryptering er teknologien som brukes til å skjule data som overføres mellom to enheter på et nettverk. Det oppnås ved å gjøre gjenkjennelige tegn om til ugjenkjennelig sludder som kan returneres til sin opprinnelige tilstand ved hjelp av en krypteringsnøkkel. Dette ble opprinnelig oppnådd gjennom en teknologi k alt Secure Socket Layer (SSL)-sikkerhet.
SSL var teknologien som gjorde all data som beveget seg mellom et nettsted og en nettleser til vrøvl og deretter tilbake til data igjen. Slik fungerer det:
- Du åpner en nettleser og skriver inn adressen til banken din.
- Nettleseren banker på døren til banken og introduserer deg.
- Dørvakten bekrefter at du er den du sier du er og godtar å slippe deg inn under et sett med betingelser.
- Nettleseren godtar disse vilkårene, og da har du tilgang til bankens nettside.
Prosessen gjentas når du skriver inn brukernavn og passord, med noen ekstra trinn.
- Du skriver inn brukernavn og passord for å få tilgang til kontoen din.
- Nettleseren din forteller bankens kontoansvarlige at du vil ha tilgang til kontoen din.
- De snakker og er enige om at hvis du kan oppgi riktig legitimasjon, vil du få tilgang. Disse legitimasjonene må imidlertid presenteres på et spesielt språk.
- Nettleseren og bankens kontoansvarlige godtar språket som skal brukes.
- Nettleseren konverterer brukernavnet og passordet ditt til det spesielle språket og sender det til bankens kontoansvarlige.
- Kontoadministratoren mottar dataene, dekoder dem og sammenligner dem med sine poster.
- Hvis legitimasjonen din samsvarer, får du tilgang til kontoen din.
Prosessen foregår på nanosekunder, så du merker ikke tiden det tar før samtalen og håndtrykket finner sted mellom nettleseren og nettsiden.
TLS-kryptering
- Sikker kryptering.
- Skjuler data mellom en datamaskin og nettsteder.
- Bedre håndtrykkprosess ved forhandling av kryptert kommunikasjon.
- Ingen kryptering er perfekt.
- Sikker ikke DNS automatisk.
- Ikke fullt ut kompatibel med eldre versjoner.
TLS-kryptering ble introdusert for å forbedre datasikkerheten. Mens SSL var en god teknologi, endres sikkerheten raskt, og det førte til behovet for bedre og mer oppdatert sikkerhet. TLS ble bygget på rammeverket til SSL med forbedringer av algoritmene som styrer kommunikasjons- og håndtrykkprosessen.
Hvilken TLS-versjon er mest gjeldende?
Som med SSL, har TLS-kryptering fortsatt å forbedre seg. Gjeldende TLS-versjon er 1.2, men TLSv1.3 er utarbeidet, og enkelte selskaper og nettlesere har brukt sikkerheten i korte perioder. I de fleste tilfeller går de tilbake til TLSv1.2 fordi versjon 1.3 fortsatt blir perfeksjonert.
Når den er ferdig, vil TLSv1.3 gi en rekke sikkerhetsforbedringer, inkludert forbedret støtte for mer aktuelle typer kryptering. TLSv1.3 vil imidlertid også droppe støtte for eldre versjoner av SSL-protokoller og andre sikkerhetsteknologier som ikke lenger er robuste nok til å sikre riktig sikkerhet og kryptering av personlige data.